强化网络互连设备安全配置脚本
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
|
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路; service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; ! no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model aaa authentication login xjccw group radius local username xjccw password 7 095444070D radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行 username xjccw password xjccw ! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务 no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点; no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***; ! no boot network //启动过程中用到TFTP,对加载过程没有安全保护; no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; ! no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; ! no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS***,bootp没有安全机制; no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef ! ntp功能启用 clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/* Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // ***通过破坏路由表,利用此功能发起DOS***; no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址; no ip mask-reply // smurf***的改进版,发起定向广播DOS***; //使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***; no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性; no ip proxy-arp // 关闭代理ARP功能; no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS***源; ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置 deny icmp any any echo-reply //拒绝任何应答 deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978 access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002 access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662 deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm access-list 101 permit ip any any //其它均允许 ! logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 ! snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0 transport input none line aux 0 transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw login authentication xjccw access-class Telnet in ! scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; |
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //加密未加密的口令;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为***的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS***,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle***;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有***知道谁在路由器上,将很
no ip finger //容易得到任何有效用户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能;
no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题;
no ip bootp server //容易DOS***,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // ***通过破坏路由表,利用此功能发起DOS***;
no ip unreachables // smurf***的形式,利用icmp不可达,更改源地址改为***设备地址;
no ip mask-reply // smurf***的改进版,发起定向广播DOS***;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞***;
no ip directed-broadcast // 定向广播是可路由的,DOS***利用此特性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS***,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS***源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
转载于:https://blog.51cto.com/ss810928/698951
强化网络互连设备安全配置脚本相关推荐
- 使用jinja2自动生成交换机接口配置脚本
作为网工,在日常工作中,一个比较常规的操作,就是对交换机接口进行配置,在IDC机房的网络维护中,尤其突出. 试想一下,在机房中有新业务要部署上线,就需要先对底层网络进行扩容,具体就是新增机柜及上架接业 ...
- RouterOS配置脚本
RouterOS配置脚本 [admin@MikroTik] > Certificate----------证书管理 Driver---------------设备管理 File--------- ...
- 华为低端路由器配置脚本
路由器本端由客户自己配置,我们只配通上行链路就可以了,如果这样的话路由器只需以下三步简单配置就OK了: 1.配置路由器上行接口IP地址 2.配置路由器默认路由 3.保存配置 ping -c 1000 ...
- Windows系统共享文件夹或打印机等设备的dos脚本自动化
目录 目录 Windows系统共享文件夹或打印机等设备的dos脚本自动化 一.概述 步骤: 执行的结果: 二.脚本实作 2.1.激活Windows的Administrator账户: 2.2.设置Win ...
- 计算机网络设备互连与管理,软考网络管理员备考知识点精讲之计算机网络互连设备...
下面是希赛软考网为大家推荐的软考网络管理员备考知识点精讲之计算机网络互连设备,希望能帮助学友们. 计算机网络互连设备 数据在网络中是以"包"的形式传递的,但不同网络的"包 ...
- 锐捷无线-胖AP配置脚本
锐捷无线-胖AP配置脚本 胖AP路由模式脚本-静态地址上网/DHCP自动获取地址上网 使用CRT或者xhsell工具telnet或者插cons线到AP上 admin //默认的cons和telnet密 ...
- 网络设备集成测试/组网测试拓扑/组网自适应自动化配置脚本示例
思路: 本文是网络设备集成测试/组网测试自动化配置脚本的示例. 主要诉求是能够自适应拓扑变化和组网方式变化. 例中使用的是cisco模拟器,IOS版本是12.4. 本例中演示了域内MPLS/BGP V ...
- 【驱动】GPIO 作为按键时的 设备树 配置
#[驱动]GPIO作为按键时的 设备树 配置 0.设备树 0.0 别名 imx6ul.dtsi 什么作用??? /*************开始/ / { aliases {- gpio0 = &am ...
- hp服务器ilo批量配置脚本
hp 服务器ilo批量配置脚本 hp的ilo是一个非常方便的带外管理工具,在平时使用的时候,经常有大量的hp服务器需要配置ilo,下面是我下的一个脚本,可以批量的完成hp服务器ilo配置. 脚本功能: ...
最新文章
- [微信小程序]计算自己手机到指定位置的距离
- 「时事点评」我有一个预感,保时捷女车主丈夫要残了!
- python strip
- 【机器学习】机器学习必知概念
- 基于 abp vNext 和 .NET Core 开发博客项目 - Blazor 实战系列(八)
- 我是怎么利用微信做兼职月入1W的
- SqlAlchemy初探
- 【转】C#中ToString()格式详解
- Java并发编程(06):Lock机制下API用法详解
- 云服务器 ECS > 块存储 > 块存储介绍 > 块存储概述 请输入关键词
- 适用于树莓派Raspberry Pi的嵌入式QT平台(二) -- 在Windows下用Qt Creator开发编译Raspberry Qt 5应用程序...
- docker image设置jdk版本_使用Docker搭建Java环境的步骤方法
- v-infinite-scroll懒惰加载
- linux gns3使用教程,《GNS3实战指南》——2.4 在Ubuntu Linux上安装
- 【自然语言处理】词袋模型在文本分类中的用法
- ORBSLAM2单应矩阵计算及代码分析
- 数字IC面试总结(大厂面试经验分享)
- 活动通知html代码大全,促销活动通知范文
- 数据结构--------课后题
- Sql 实现数据透视表功能